Le 16 Juin dernier s'est déroulé à l'École Militaire sous la présidence de l'IRSEM en partenariat avec l'IDEST, un colloque portant sur les aspects juridiques de la cyberguerre. L'objectif de cette journée d'étude était, à mon sens, double :
1) rappeler l'ensemble des règles de droit pouvant être appliqué au cyberespace, en situation de conflits ou non d'ailleurs.
2) Déterminer si, de ces règles, toutes sont applicables à un cas spécifique de "cyberguerre", c'est à dire un affrontement inter-étatique clair se déroulant en partie dans le cyberespace.
Notons tout d'abord une bonne initiative de l'IRSEM qui a souhaité inviter un expert technique de très grande qualité, M. Naccache. Celui-ci nous a simplement montré le cheminement et les résultats d'un pratique d'un audit type "pentest"...avec des résultats époustouflants. Même si je crains que certains n'aient été un peu perdus avec le buffler overflow
sui generis (il nous avoue avoir découvert un 0-day), sa présentation a eu le mérite de montrer :
- le chemin très détourné d'une attaque
- les principes classiques de ce que l'on appelle souvent
APT -Advanced Persistent Threat (à prendre avec précaution).
- les résultats assez époustouflants..
M. Naccache ayant remise en place les idées de tout un chacun afin d'éviter les débordements verbeux, il était désormais temps de s'attaquer à la phase juridique de la question.
Après cela, de nombreuses conférences étaient intéressantes et je ne pourrai parler de toutes. Je pense me restreindre ainsi à ce que j'ai appris des liens entre droit/cyberespace et cyberconflits.
=> L'exposé de M. Achilleas nous a ainsi instruit de la diversité des droits et principes s'appliquant au cyberespace. Je vous propose de découvrir un principe et ses évocations :
- Liberté de communication :
Déclaration Universelle des Droits de l'Homme, P
acte International relatif aux droits civils et politiques,
Convention Européenne des Droits de l'Homme- Droit des Télécommunications :
Essentiellement le corpus juridique que l'on doit à l'IUT(convention (92), constitution (92), règlement des radiocommunications (2007) : protection des infrastructures internationales de télécommunications)..
Parfois, on trouve aussi des associations relatives au Droit de la Mer ou de l'Espace notamment à cause des infrastructures de télécommunications utilisées (satellites et fibres) :
- Droit de la Mer :
Convention de Montego Bay- Droit de l'Espace :
Traité de l’espace (1967) Convention sur la responsabilité (1972) et l’immatriculation (1974). On y retrouve des principes de non-agression, de responsabilité de l'état et de non-interférence.
Enfin, on se souviendra aussi que le Droit International Public interdit, par un ensemble de convention, l'usage des moyens de radio-diffusion pour la propagande de guerre et subversive...
Tout cela nous enseigne notamment qu'il existe un corpus juridique large, complexe proposant des principes clairs dont certains sont directement applicables au cyberespace.
Les points précédents sont relatifs à des domaines du droit publics, internationaux et spécifiques. Il existe également toute une branche du droit dédiée à la guerre : entrer en guerre ? se comporter en temps de guerre ? protéger les civils ?
Parfois appelé DCA, Droit des Conflits Armés, ce droit pose plusieurs principes et questions. Par exemple, un affrontement dans le cyber peut-il être un conflit armé ? Certaines répondent que non. En la matière, l'exposé du Pr. Norodom est intéressant et fournit matière à réflexion.
Elle rappelle tout d'abord les principes :
- le recours à la force entre Etat est en principe interdit. Il existe également des mesures dites de rétorsion de nature non-militaire (embargo...)
- il existe des exceptions que l'on interprète strictement : la légitime défense et l'action dans le cadre de l'ONU
- un principe de proportionnalité doit être respecté.
Tout cela dit, il subsiste un problème d'identification classique pour tous les experts technique qui savent bien qu'identifier l'auteur d'une attaque de manière indubitable reste très délicat. Pour répondre à cette question, il existe plusieurs théories, imparfaites, que l'on peut optimiser dans le cadre d'une théorie dite "intégrale" qui a été présentée.
L'objet de cette théorie est de poser plusieurs questions qui permettent d'aiguiller la réponse de l'État : quelles sont les cibles visées ? Quelle sont les natures des attaques ? Quels sont les attaquants identifiés en premier lieu ?
Partant de cette théorie, il nous est proposé une matrice de réaction (cf. les actes) dont le principal intérêt est bien de montrer qu'il existe très peu de cas où un ensemble d'attaque informatique présente toutes les caractéristiques d'un conflit armé susceptible d'initier une riposte dans le cadre présenté ci-dessus. La majorité des cas se satisferont d'autres types de réponses incluant le droit interne, les relations diplomatiques...
Un second intervenant, M. Kolanowski du CICR fournit également des éléments intéressants en affirmant qu'au final, le Droit Humanitaire qui protège les civils en cas de conflits peut et doit s'appliquer...Certaines questions demeurent, comme la qualification des civils participant à des actes offensifs (les hacktivistes lors des attaques sur les systèmes estoniens ou géorgiens) -:sont-ils des combattants ? ils pourraient...
En revanche, je retiendrais une phrase - clé : "les principes du DIH (Droit International Humanitaire ) sont indépendants des moyens et méthodes du cyber" : il faut savoir distinguer les cibles et continuer à protéger les civils d'éventuels effets collatéraux trop importants.
Il demeure toutefois l'impossibilité de qualifier formellement une attaques informatique d'agression armé...De manière générale, il est vrai que les éléments étudiés ici se basent sur de nombreuses hypothèses. Les conclusions, cependant, proposent un modèle d'adaptation, et non de révolution du droit actuel.
Car, rappelons-le, il faut être prudent car la cyberguerre n'a jamais encore eu lieu et il est fort probable que les formes qui seront prises puissent être surprenantes. Je reste convaincu que certains messages sont essentiels : il est réellement inacceptable qu'un système de secours au population (type 112 ou 911) soit impacté, en particulier en période de crise. C'est ce que l'on doit comprendre d'une déclaration supposant que le DIH est indépendant des moyens et modes d'actions.
Dans une seconde partie, je proposerais mes réflexions autour des autres tables-rondes. Conscient de n'être pas exhaustif, je rappelle que des actes devraient être publiés afin de combler mes lacunes de présentation.